Comment garantir la confidentialité des dossiers patients ?

Un classeur oublié sur le siège passager ou un écran de tablette visible en salle d'attente constituent des violations du secret médical au sens de l'article R4312-5 du CSP. En tournée comme au cabinet, les dossiers patients circulent, et c'est précisément là que le risque se concentre.

Pour les dossiers papier, la règle de base reste l'armoire fermée à clé, accessible aux seuls professionnels de santé impliqués dans la prise en charge. Lors des visites à domicile, utilisez une sacoche verrouillable et ne laissez jamais de documents dans votre véhicule. La destruction doit se faire par déchiquetage croisé.

Côté numérique, le minimum non négociable comprend : un mot de passe de 12 caractères minimum avec verrouillage automatique après 5 minutes d'inactivité, un antivirus à jour et un pare-feu activé. N'utilisez jamais un réseau Wi-Fi public pour consulter ou transmettre des données de santé.

Attention : Votre logiciel de gestion de cabinet doit intégrer un chiffrement des données au repos et en transit. L'authentification à deux facteurs est devenue incontournable face à la multiplication des cyberattaques contre les professionnels de santé.

Les infirmieres que nous accompagnons chez SOS Infirmieres nous confirment que la sécurisation numérique est souvent le point faible des nouvelles installées.

L'article R1112-7 du Code de la Santé Publique fixe la durée de conservation à 20 ans à compter de la dernière intervention : c'est l'une des erreurs les plus répandues chez les IDEL qui débutent en libéral que de croire à une durée de 5 ans seulement. Ce délai s'explique par la nécessité de couvrir la prescription de la responsabilité médicale, fixée à 10 ans par l'article L1142-28 du CSP selon Legifrance.

Plusieurs cas particuliers allongent encore cette durée. Pour un patient mineur, la conservation est prorogée jusqu'à son 28e anniversaire. En cas de décès du patient, le dossier doit être gardé 10 ans à compter de la date du décès. Les actes transfusionnels imposent une conservation de 30 ans.

Chiffre cle : 20 ans de conservation obligatoire, dont 5 ans en base active (logiciel courant) et 15 ans en archivage intermédiaire (accès restreint). Pour un patient mineur, la conservation va jusqu'à son 28e anniversaire.

Le référentiel de la CNIL précise l'organisation pratique : 5 ans en base active (votre logiciel de gestion courant, avec accès direct), puis 15 ans en archivage intermédiaire (accès restreint). Ne confondez pas la durée en base active avec la durée totale de conservation.

Le RGPD classe les données de santé parmi les « données sensibles » : trois obligations concrètes en découlent pour chaque IDEL.

Première obligation : tenir un registre des traitements de données. Même sans désigner de DPO (non obligatoire en exercice individuel), vous devez documenter quelles données vous collectez, pourquoi, combien de temps vous les conservez et qui y accède. Un simple tableur structuré suffit.

Deuxième obligation : informer vos patients. Affichez au cabinet et intégrez à votre livret d'accueil une mention claire sur leurs droits d'accès, de rectification et d'effacement. Prévoyez une procédure écrite pour traiter ces demandes dans le délai légal d'un mois.

Troisième obligation : en cas de violation de données (vol de tablette, piratage de messagerie, perte d'un dossier papier), vous disposez de 72 heures pour notifier la CNIL conformément à l'article 33 du RGPD. Passé ce délai, vous vous exposez à des sanctions administratives.

Conseil : Si vous faites appel à un prestataire externe (cloud, sauvegarde en ligne, éditeur SaaS), celui-ci doit etre certifié HDS (Hébergeur de Données de Santé) conformément aux recommandations de la HAS. Le nouveau référentiel HDS est applicable depuis le 16 novembre 2024, avec une période de transition jusqu'au 16 mai 2026. Vérifiez le certificat de votre prestataire avant de signer.